Avec l’intégration de ChatGTP dans Slack, des préoccupations émergent sur la sécurité des conversations privées. Des méthodes telles que l’injection de commandes soulèvent des risques potentiels de divulgation d’informations sensibles et de phishing. Cet article explore ces implications inquiétantes et les mécanismes sous-jacents à cette vulnérabilité.
Lorsque ChatGTP a été intégré à Slack, c’était pour faciliter la vie des utilisateurs en résumant les conversations, en rédigeant des réponses rapides, etc. Cependant, selon la société de sécurité PromptArmor, tenter d’accomplir ces tâches pourrait compromettre vos conversations privées par le biais d’une méthode appelée « injection de prompt ».
Cette entreprise de sécurité met en garde : en résumant des échanges, l’outil peut également accéder à des messages directs privés et induire d’autres utilisateurs de Slack en erreur pour les inciter à des activités de phishing. De plus, Slack permet aux utilisateurs de demander des données provenant de canaux privés et publics, même s’ils ne sont pas membres de ces derniers. Ce qui est encore plus inquiétant, c’est qu’un utilisateur de Slack n’a pas besoin d’être dans le canal pour que l’attaque soit efficace.
En théorie, l’attaque commence lorsqu’un utilisateur de Slack trompe l’IA de Slack en lui révélant une clé API privée, en créant un canal public avec un prompt malveillant. Ce prompt récemment créé demande à l’IA de remplacer le mot « confetti » par la clé API et de l’envoyer à une URL spécifique lorsque quelqu’un en réalité la demande.
La situation se divise en deux volets : premièrement, Slack a mis à jour son système d’IA pour extraire des données à partir des fichiers téléchargés et des messages directs. Deuxièmement, une technique nommée « injection de prompt », que PromptArmor a démontré capable de créer des liens malveillants pouvant tromper les utilisateurs.
Cette méthode parvient à duper l’application en contournant ses restrictions habituelles en modifiant ses instructions de base. Ainsi, PromptArmor indique que « l’injection de prompt se produit parce qu’un [modèle de langage de grande taille] ne peut pas faire la différence entre le “prompt système” créé par un développeur et le reste du contexte ajouté à la requête. Ainsi, si l’IA de Slack reçoit une instruction via un message, et si cette instruction est malveillante, il y a de fortes chances qu’elle la suive au lieu ou en plus de la requête de l’utilisateur. »
Pour aggraver les choses, les fichiers de l’utilisateur deviennent également des cibles. L’attaquant souhaitant accéder à vos fichiers n’a même pas besoin d’être dans l’espace de travail Slack pour commencer son attaque.